postfix и антивирус
Добрый день! Достаточно давно не поднимал почтовиков, поэтому отстал от жизни. Подскажите, как сейчас модно/идеологически правильно проверять почту на вирусы? Раньше я делал postfix+amavis-new+clamav, а сейчас что-то более новое-модное появилось или делать так же? Спасибо.
2 ppp wan load-balancing
Добрый день! Понадобилось мне сделать машинку с 2мя провайдерами для failover. Оба провайдера динамические - pppoe и pptp. Есть ли какое-то готовое решение для моей задачи? Я, конечно же, могу изобрести свой велосипед с пингами и динамическими правилами iptables, но может есть готовые решения? Готовые железные решения просьба не предлагать. Спасибо.
Re: а что использовать для контентной фильтрации на шлюзах ?
5 марта 2012 г. 16:50 пользователь Korona Auto Ltd.\ Andrey N. Prokofiev a...@korona-auto.com написал: 05.03.2012 16:43, Скубриев Владимир пишет: Есть некоторое количество шлюзов на debian 6. На всех стоит squid, почти все юзеры работают через него. Везде требуется разный уровень контентной фильтрации для разных групп пользователей. Одним нужно порезать только просмотр видео-онлайн и порно. Другим вообще все не связанное с работой. Третьим только социальные сети и их зеркала. И т.д. Я знаю, что существуют squidguard, dansguardian. Кто их использует - хватает ? А есть что то еще ? Пусть даже платное! Например в виде icap сервера к squid или чего то еще. Главное чтобы очень функциональное и гибкое в настройке в плане контентной фильтрации. Еще очень интересно, что используют уважаемые участники рассылки в своих целях ? Заранее огромное спасибо, всем кто откликнется! ммм... acl BANNERS url_regex /etc/squid3/txt/banners.txt не, всё хорошо, но TC вроде как про разный уровень фильтрации говорит, а значит и авторизация какая-никакая есть... rejik, но на него со squirm так пока не не дошли руки перейти...
Re: а что использовать для контентной фильтрации на шлюзах ?
6 марта 2012 г. 5:18 пользователь Иван Лох l...@1917.com написал: On Mon, Mar 05, 2012 at 04:43:24PM +0400, Скубриев Владимир wrote: групп пользователей. Одним нужно порезать только просмотр видео-онлайн и порно. Другим вообще все не связанное с работой. Третьим только социальные сети и их зеркала. И т.д. Советую группе пользователей собраться и порезать автора этого топика. троллинг? достаточно распространённая хотелка начальства от админа - нефиг работникам сидеть в соц. сетях - работать надо и при этом делается достаточно просто -- Don't worry, be happy!
Re: а что использовать для контентной фильтрации на шлюзах ?
6 марта 2012 г. 9:45 пользователь Скубриев Владимир vladi...@skubriev.ru написал: 05.03.2012 16:55, Ilya Sapytsky пишет: 5 марта 2012 г. 16:50 пользователь Korona Auto Ltd.\ Andrey N. Prokofieva...@korona-auto.com написал: 05.03.2012 16:43, Скубриев Владимир пишет: Есть некоторое количество шлюзов на debian 6. На всех стоит squid, почти все юзеры работают через него. Везде требуется разный уровень контентной фильтрации для разных групп пользователей. Одним нужно порезать только просмотр видео-онлайн и порно. Другим вообще все не связанное с работой. Третьим только социальные сети и их зеркала. И т.д. Я знаю, что существуют squidguard, dansguardian. Кто их использует - хватает ? А есть что то еще ? Пусть даже платное! Например в виде icap сервера к squid или чего то еще. Главное чтобы очень функциональное и гибкое в настройке в плане контентной фильтрации. Еще очень интересно, что используют уважаемые участники рассылки в своих целях ? Заранее огромное спасибо, всем кто откликнется! ммм... acl BANNERS url_regex /etc/squid3/txt/banners.txt не, всё хорошо, но TC вроде как про разный уровень фильтрации говорит, а значит и авторизация какая-никакая есть... rejik, но на него со squirm так пока не не дошли руки перейти... в разных местах разная авторизация: где-то AD где то по ip любым уважающим себя системам уже давным-давно пофиг на это, т.к. умеют и то и другое и много чего еще -- Don't worry, be happy!
db3_load и обратный процесс
Добрый день! Был нагруженный vsftp сервер и порядка 200 виртуальных пользователей. В один момент удалили файлик со всеми пользователями и паролями, но db файл при этом сохранился... Подскажите, как можно сделать обратную процедуру - из db восстановить пользователей и пароли? Спасибо.
Re: db3_load и обратный процесс
да, именно оно, внятное чтение документации привело к тому, что db3_dump -p file.db и немного подредактировать формат... Спасибо! 1 марта 2012 г. 19:41 пользователь Иван Лох l...@1917.com написал: On Thu, Mar 01, 2012 at 03:21:03PM +0400, Ilya Sapytsky wrote: Добрый день! Был нагруженный vsftp сервер и порядка 200 виртуальных пользователей. В один момент удалили файлик со всеми пользователями и паролями, но db файл при этом сохранился... Подскажите, как можно сделать обратную процедуру - из db восстановить пользователей и пароли? Спасибо. Скорее всего db_dump из db-util -- Иван Лох -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120301154128.ga17...@nano.ioffe.rssi.ru
Re: поднятие vpn интерфейсов с зависимостями
Добрый день! 31 января 2012 г. 12:09 пользователь Alexander Galanin a...@galanin.nnov.ruнаписал: On Tue, 31 Jan 2012 09:13:05 +0400 Ilya Sapytsky sov...@gmail.com wrote: 2. надо добавить vpn подключение 2.1 попробовал так: auto vpn iface trio inet ppp provider vpn руками поднимается, а при загрузке ничего не пишет и вообще тишина Потому что параметром у auto должно стоять имя интерфейса (т.е. trio). Вопросы: 1. Подскажите, пожалуйста, каким образом можно автоматом поднимать vpn после нормального поднятия pppoe и появляния инета? Вообще говоря, никто не может обещать, что после поднятия pppoe появится интернет. Но связать инициацию vpn-подключения с поднятием интерфейса можно через команды up и down. так up pon vpn не получилось... 2. автореконнект для pppoe обеспечивается maxfail 0 в /etc/ppp/peers/dsl-provider а вот что делать для vpn соединения, когда исчезнет pppoe? maxfail 0 в /etc/ppp/peers/vpn почему-то не прокатывает и соединение просто рвётся, ppp закрывается и всё. persist maxfail это не то?
поднятие vpn интерфейсов с зависимостями
Добрый день! понадобилось сделать вот такую штуку: 1. debian машинка с интернетом через pppoe в /etc/network/interfaces написано auto dsl-provider iface dsl-provider inet ppp pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf provider dsl-provider автоматом поднимается и всё работает... 2. надо добавить vpn подключение 2.1 попробовал так: auto vpn iface trio inet ppp provider vpn руками поднимается, а при загрузке ничего не пишет и вообще тишина 2.2 попробовал так: up pon vpn к pppoe соединению - тоже 0 эмоций в логах и на экране Вопросы: 1. Подскажите, пожалуйста, каким образом можно автоматом поднимать vpn после нормального поднятия pppoe и появляния инета? 2. автореконнект для pppoe обеспечивается maxfail 0 в /etc/ppp/peers/dsl-provider а вот что делать для vpn соединения, когда исчезнет pppoe? maxfail 0 в /etc/ppp/peers/vpn почему-то не прокатывает и соединение просто рвётся, ppp закрывается и всё. Спасибо.
linux proxy + samba AD membership
Добрый день! уже не первый раз приходится делать linux proxy и совмещать с samba и авторизацией в домене... вот тут у меня вопросы и начинаются - если делать proxy - в resolv.conf надо указывать реальные dns провайдера, а для samba с доменом надо указывать dns контроллера домена... вышел из ситуации так - указал dns контроллера домена и на контроллере сказал пересылать запросы на провайдерские сервера. Работает, но считаю это неправильным. Что можно придумать, чтобы разделить linux proxy и samba AD membership по dns?
Re: linux proxy + samba AD membership
27 декабря 2011 г. 9:46 пользователь Korona Auto Ltd./ Andrey N. Prokofiev a...@korona-auto.com написал: 27.12.2011 08:57, Ilya Sapytsky пишет: Добрый день! уже не первый раз приходится делать linux proxy и совмещать с samba и авторизацией в домене... вот тут у меня вопросы и начинаются - если делать proxy - в resolv.conf надо указывать реальные dns провайдера, а для samba с доменом надо указывать dns контроллера домена... вышел из ситуации так - указал dns контроллера домена и на контроллере сказал пересылать запросы на провайдерские сервера. Работает, но считаю это неправильным. Что можно придумать, чтобы разделить linux proxy и samba AD membership по dns? А зачем Вам днс провайдера? У меня все намного проще - зоны для контроллера домена подняты на бинде. зачем dns провайдера на proxy - наверное затем, чтобы офис мог пользоваться интернетом? dns для AD на bind - можно, но не true windows way, не хочется гемороя. есть еще идеи?
ppp при загрузке
Добрый день! Собираю маленькую машинку-роутер, интернет через usb модем. Всё сделал, остался только риторический вопрос -- как *правильно* сделать pon provider при загрузке системы без участия человека?
iptables и непонятки...
Добрый день! есть у меня некая сеть, где transparent squid стоит, но понадобилось для одной машины сделать исключение. Нарисовал в правилах вместо $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface $IF_GINT --jump REDIRECT --to-port 3128 вот такую конструкцию: $IPT --new-chain gors echo 2 $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface $IF_GINT --jump gors echo 3 $IPT --append gors --protocol tcp --src 192.168.99.2 --dport 80 --in-interface $IF_GINT --jump RETURN echo 4 $IPT --append gors --protocol tcp --dport 80 --in-interface $IF_GINT --jump REDIRECT --to-port 3128 echo 5 а мне в ответ 2 iptables v1.4.2: Couldn't load target `gors':/lib/xtables/libipt_gors.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. 3 4 iptables: Invalid argument 5 и ни в какую не хочет я так понимаю, что а nat нельзя делать jump в другие chain? как вообще реализовать мою задачу? Спасибо!
Re: Установка debian 6.0.2 в режиме Exprert
Так корневой раздел бутабельным делали? Думаю в этом грабли... 14.09.2011 8:00 пользователь Sergey Korobitsin underta...@arta.kz написал: none none ☫ → To debian-russian @ Wed, Sep 14, 2011 10:55 +0900 Здравствуйте все! ) Интересует такой вопрос... Нескольео раз пытался установить дебиана в режиме експерта, но всегда не удачно на одном и том же этапе, а конкретно на установке загрузчика, после того как я сам разбиваю диск в этом режиме, ОС отказывается устанавливать туда загрузчик и вываливается с ошибкой! Типо не могу установить загрузчик. Дистры пробовал разные и с разных дисков. 6.0 :6.0.1 :6.0.2. На всех одно и тоже. Начинаю подозревать, что я делаю что то не так. Хотя искал в сети варианты разбивки дисков, и как правильно это делать. Перепробовал разные. Хотя когда я разбиваю самостоятельно через дефолтный режим установка загрузчика проходит без проблем. Где грабли ) Нажмите Alt+F4 на этапе ошибки и посмотрите в логе инсталлятора, что происходит. -- Bright regards, Sergey Korobitsin, Chief Research Officer Arta Software, http://arta.kz/ xmpp:underta...@jabber.arta.kz -- Да, у меня хорошая зарплата. Однако я наверняка смог бы заработать ещё больше, скажем, программером или админом в каком-нибудь банке. Собственно, я и работал там одно время. Но у меня, помимо (1) адекватной денежной компенсации, есть ещё ряд ожиданий от работы. Она должна быть (2) интересной и (3) полезной. Полезной не для меня, а в каком-то общечеловеческом, глобальном смысле. Как это ни странно, я всё ещё думаю, что человек (любой) может сделать мир капельку лучше. Пункт (1) я поставил на первое место потому, что у меня семья, дети. Но я ни разу в жизни не искал или не выбирал работу по этому критерию — он как-то сам собой всегда прилагается, наверное, мне просто везёт -- k001 в http://lj.rossia.org/users/k001/603667.html?thread=4558099#t4558099 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110914035939.gm21...@undertaker.dev.lan.arta.kz
Re: Пропал доступ с Win 2k8 при активации smb2 на samba 3.5.6
Не знаю зачем так сильно извращаться... Поднимал на тестинге вроде тогда еще сквизи squid+ntlm и проблем не возникало. Главное, чтобы версия кербероса была выше или равна 1.7 (по памяти) и далее как обычно - вводим в домен и наслаждаемся благами виндовой авторизации. 27.08.2011 2:23 пользователь Kramarenko Maksim A. mc@k-max.name написал: Доброго времени, уважаемые ) Сегодня начитался о возможности включения протокола SMB2 в samba 3.5.x. (пруфлинк http://www.daemony.ru/?p=1099 ) и решил тоже попробовать. Дистриб 6.0.2, версия samba указана. При попытке получить доступ к SAMBA серверу с Win2k8 R2 пишет Windows не может получить доступ к \\имя_сервера. Не найден сетевой путь., а в логе smbd: files ~ # tail -f /var/log/samba/log.sql-1c2 [2011/08/27 01:59:39.224782, 1] libsmb/ntlmssp.c:335(ntlmssp_update) Failed to parse NTLMSSP packet, could not extract NTLMSSP command [2011/08/27 01:59:40.332982, 1] libsmb/ntlmssp.c:335(ntlmssp_update) Failed to parse NTLMSSP packet, could not extract NTLMSSP command [2011/08/27 01:59:41.424667, 1] libsmb/ntlmssp.c:335(ntlmssp_update) Failed to parse NTLMSSP packet, could not extract NTLMSSP command [2011/08/27 01:59:42.517869, 1] libsmb/ntlmssp.c:335(ntlmssp_update) Failed to parse NTLMSSP packet, could not extract NTLMSSP command [2011/08/27 01:59:43.624581, 1] libsmb/ntlmssp.c:335(ntlmssp_update) Failed to parse NTLMSSP packet, could not extract NTLMSSP command даже список ресурсов не отображает. Samba в домене Win2k3 AD через winbind. конфиг самбы следующий: files ~ # testparm -s Load smb config files from /etc/samba/smb.conf rlimit_max: rlimit_max (1024) below minimum Windows limit (16384) Processing section [printers] Processing section [print$] Processing section [homes] Processing section [backup$] Processing section [install$] . Loaded services file OK. WARNING: You have some share names that are longer than 12 characters. These may not be accessible to some older clients. (Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.) Server role: ROLE_DOMAIN_MEMBER [global] workgroup = XXX realm = XXX.LOCAL server string = Файловый сервер security = ADS auth methods = winbind obey pam restrictions = Yes password server = dc.xxx.local dc2.xxx.local username map = /etc/samba/userssmb log file = /var/log/samba/log.%m smb ports = 139 max protocol = SMB2 lpq cache time = 5 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 panic action = /usr/share/samba/panic-action %d idmap uid = 1-2 idmap gid = 1-2 template homedir = /backup/XXX/%U winbind separator = ^ winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes recycle:repository = .recycle/%U recycle:keeptree = yes recycle:versions = yes recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.~??|*.trace recycle:excludedir = /backup/backup/ recycle:maxsize = 104805760 recycle:touch = yes cups options = raw veto files = /autorun.inf/AUTORUN.INF/.*/Thumbs.db/ hide files = /$RECYCLE.BIN/desktop.ini/lost+found/Thumbs.db/ vfs objects = recycle [printers] comment = Очередь печати SMB path = /var/spool/samba printable = Yes browseable = No [print$] comment = Драйверы принтера path = /var/lib/samba/printers [homes] comment = Личная папка пользователя %U read only = No browseable = No [backup$] comment = Инсталяхи path = /shares/backup read only = No [install$] comment = Инсталяхи path = /shares/install read only = No veto files = .. Как ни странно, с Win7 Prof доступ имеется, с XP и 2k3 тоже доступ есть. Как побороть проблему? Заранее спасибо! -- C Уважением, Крамаренко Максим Анатольевич. http://www.k-max.name/
Re: policy routing мыаезв
6 июня 2011 г. 7:28 пользователь Andrey Lyubimets and...@nskes.ru написал: 04.06.2011 16:23, Ilya Sapytsky пишет: Добрый день! Есть ftp сервер, 2 провайдера для отказоустойчивости. Каким образом и можно ли настроить систему так, чтобы при падении любого провайдера ftp был доступен через другого... Должны быть доступны и active и passive режимы. Сразу скажу, что вполне достаточно завести 2 доменных имени ftp1.domain.ru http://ftp1.domain.ru/ и ftp2.domain.ru http://ftp2.domain.ru/ для адресов разных провайдеров и при падении одного имени пускай заходят через другое - это не проблема. Как правильно и можно ли вообще настроить policy routing для ftp сервера на стороне сервера и как это сделать? Сейчас, скажем для мыла у меня работает так - default gw для одного из провайдеров и для второго ip route $a to my_ext_dmz dev eth7 table provider ip route $a default src ip dev eth7 via gate table provider ip rule $a from ip table provider и на все ВХОДЯЩИЕ соединения отвечаем через того же провайдера... А тут будет ftp и его заморочки с открытием новых соединений на разные порты... Я так понимаю, что новые соединения будут идти по defailt gw? Как бы решить мою проблему и запустить ftp сервер на 2х провайдерах? разрешить только пассивный ftp? имха особо не вариант, потому что клиенты могут быть разные и надо подстроится под всех... :( может соорудить 2 сервера и ftp файлы на разделяемом ресурсе, раз уж никак с такой штукой?
policy routing мыаезв
Добрый день! Есть ftp сервер, 2 провайдера для отказоустойчивости. Каким образом и можно ли настроить систему так, чтобы при падении любого провайдера ftp был доступен через другого... Должны быть доступны и active и passive режимы. Сразу скажу, что вполне достаточно завести 2 доменных имени ftp1.domain.ru и ftp2.domain.ru для адресов разных провайдеров и при падении одного имени пускай заходят через другое - это не проблема. Как правильно и можно ли вообще настроить policy routing для ftp сервера на стороне сервера и как это сделать? Сейчас, скажем для мыла у меня работает так - default gw для одного из провайдеров и для второго ip route $a to my_ext_dmz dev eth7 table provider ip route $a default src ip dev eth7 via gate table provider ip rule $a from ip table provider и на все ВХОДЯЩИЕ соединения отвечаем через того же провайдера... А тут будет ftp и его заморочки с открытием новых соединений на разные порты... Я так понимаю, что новые соединения будут идти по defailt gw? Как бы решить мою проблему и запустить ftp сервер на 2х провайдерах? Best regards, Ilya.
Re: pppoe и разорвавшееся соедин ение
18 ноября 2010 г. 10:52 пользователь Nicholas s...@networkgate.us написал: On 18.11.2010 07:43, Munko O. Bazarzhapov wrote: Две опции: Если не поможет: diald - в качастве бунуса, во время обрыва пакеты не теряются. В этой рассылке мне уже дважды говорили, что современный pppd умеет все то, что раньше умел только diald - так что очень интересно узнать о вашем результате - скоро придется переходить на мобильник. Особенно интересно узнать - научился ли pppd сам сохранять очередь пакетов при обрыве или как и раньше броузер будет сразу говорить что все сайты не доступны. Что касается diald - это эмулятор выделенной линии - как только появляется пакет - поднимает соединение. То есть, для постоянной связи достаточно сделать пинг в фоне. эмулятор выделенной линии мне не нужен :) мне нужен эмулятор белого статического ip :) без всяких закидонов. Провайдер смог предоставить только pppoe с выдачей статического ip :(
Re: pppoe и разорвавшееся соедин ение
18 ноября 2010 г. 23:53 пользователь Николай Федосов nikolay.fedo...@gmail.com написал: 18.11.2010 08:49, Ilya Sapytsky пишет: Добрый день! Случается такая проблема - машинка с lenny работает 24x7 почти без присмотра. Подключение к интернету через pppoe соединение, типа так: cat /etc/network/interfaces auto dsl-provider iface dsl-provider inet ppp pre-up /sbin/ifconfig eth0.25 up # line maintained by pppoeconf там действительно vlan 25 ? eth0 или eth0.x поднимать теперь не ice там на этой сетевухе сидит 6 vlan, одна из них - внешний инет с pppoe :) оно и так поднято, причём всегда :) provider dsl-provider ну и когда соединение рвётся - оно не восстанавливается, хотя persist стоит... Происходит это следующим образом - просто пропадает интерфейс ppp0. Что еще можно покрутить, чтобы разорвавшееся соединение само восстанавливалось/переконнекчивалось? Спасибо.
Re: pppoe и разорвавшееся соедин ение
18 ноября 2010 г. 10:43 пользователь Munko O. Bazarzhapov vec...@gmail.comнаписал: skip Две опции: persist - при отключении демону не умирать оставаясь в памяти и подключатся кол-во раз описанное в следующем параметре maxfail 0 - пытаться подключатся бесконечно maxfail - наверное то, что нужно поставил, посмотрим
pppoe и разорвавшееся соединен ие
Добрый день! Случается такая проблема - машинка с lenny работает 24x7 почти без присмотра. Подключение к интернету через pppoe соединение, типа так: cat /etc/network/interfaces auto dsl-provider iface dsl-provider inet ppp pre-up /sbin/ifconfig eth0.25 up # line maintained by pppoeconf provider dsl-provider ну и когда соединение рвётся - оно не восстанавливается, хотя persist стоит... Происходит это следующим образом - просто пропадает интерфейс ppp0. Что еще можно покрутить, чтобы разорвавшееся соединение само восстанавливалось/переконнекчивалось? Спасибо.
Re: Разные кодировки на vsFTPd
7 октября 2010 г. 14:27 пользователь Andrey Rahmatullin w...@wrar.nameнаписал: On Thu, Oct 07, 2010 at 02:27:56PM +0400, Вереск wrote: Доброго времени суток! Поставил на Debian Lenny AMD64 vsftpd и огрёб грабли с кодировками, как и положено. При Win-клиенте всё ожидаемо коряво, можно садиться компилировать (хотя очень не хочется), пакеты только для i386 нашёл с перепатченым. При копировании файлов с Linux-клиента русские кодировки никуда не пропадают, а вот скопировать\создать папку с русским именем никак - кракозябрит. Что делать-то? Патчить и собирать самому либо ставить proftpd. зачем, если есть vsftpd+? собрать и поставить... даже еще круче будет, если соберёте пакетик и выложите - буду премного благодарен! -- WBR, wRAR Powered by the ALT Linux fortune(6): * hmepas_ ребутнул провайдерский сервер. * hmepas_ ждет. combr hmepas_: ждешь, когда бить прибегут? ;)